Совместное использование AMI с пользователем в другой учетной записи AWS

Question

AWS поддерживает совместное использование AMI или снимка через учетную запись, просто изменяя разрешения.Чтобы поделиться AMI, нам нужно ввести идентификатор целевой учетной записи, после чего он будет передан в целевую учетную запись.Я хочу поделиться этим AMI с конкретным пользователем в целевой учетной записи.Является ли это возможным?если да, то какие шаги необходимы?ТИА :)

Answer 1

Невозможно в исходной учетной записи ограничить доступ для определенного пользователя в целевой учетной записи.

Как правило, общий доступ к нескольким учетным записям заключается в создании доверия от одной учетной записи к корневому пользователю пользователя.другая учетная запись.

Это доверие позволяет корневому пользователю целевой учетной записи делегировать доступ к ресурсам (с помощью политик IAM).В этом случае ресурсом является AMI.

Итак, если вы хотите ограничить доступ к этому AMI в целевой учетной записи для конкретного пользователя, вам необходимо:

1. ПоделитьсяAMI, как вы упомянули от исходной учетной записи к целевой учетной записи (https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharingamis-explicit.html)
2. Создайте политику IAM в целевой учетной записи, чтобы разрешить доступ к AMI
3. Присоедините эту политику IAM к пользователю / группе/role.

Что-то вроде следующего, прикрепленного к пользователю / группе / роли:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AccessImages",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages",
                "ec2:CopyImage"
            ],
            "Resource": "*"
        }
    ]
}